KR101381558B1 - Method for detecting anomaly traffic and apparatus thereof - Google Patents

Method for detecting anomaly traffic and apparatus thereof Download PDF

Info

Publication number
KR101381558B1
KR101381558B1 KR1020120095403A KR20120095403A KR101381558B1 KR 101381558 B1 KR101381558 B1 KR 101381558B1 KR 1020120095403 A KR1020120095403 A KR 1020120095403A KR 20120095403 A KR20120095403 A KR 20120095403A KR 101381558 B1 KR101381558 B1 KR 101381558B1
Authority
KR
South Korea
Prior art keywords
traffic
graph
abnormal traffic
node
abnormal
Prior art date
Application number
KR1020120095403A
Other languages
Korean (ko)
Other versions
KR20140039343A (en
Inventor
홍원기
도리큇
정태열
Original Assignee
포항공과대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포항공과대학교 산학협력단 filed Critical 포항공과대학교 산학협력단
Priority to KR1020120095403A priority Critical patent/KR101381558B1/en
Publication of KR20140039343A publication Critical patent/KR20140039343A/en
Application granted granted Critical
Publication of KR101381558B1 publication Critical patent/KR101381558B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

비정상 트래픽 탐지 방법 및 장치가 개시된다. 본 발명의 일 실시예는, 네트워크 트래픽을 나타내는 그래프를 생성하는 단계, 상기 그래프를 기반으로 특정 시점의 트래픽 특성을 나타내는 정적 변수 및 시간에 따라 변화하는 트래픽 특성을 나타내는 동적 변수를 산출하는 단계 및 상기 정적 변수 및 상기 동적 변수 중 적어도 하나의 변수와 미리 정의된 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지하는 단계를 포함한다. 따라서, 비정상 트래픽을 정확하고 신속하게 탐지할 수 있고, 비정상 트래픽의 종류를 판별하는데 소모되는 시간을 줄일 수 있다.An abnormal traffic detection method and apparatus are disclosed. According to an embodiment of the present invention, there is provided a method of generating a graph representing network traffic, calculating a static variable representing a traffic characteristic at a specific time point and a dynamic variable representing a traffic characteristic changing over time based on the graph. Detecting abnormal traffic according to a result of comparing at least one of the static variable and the dynamic variable with a predefined threshold value. Therefore, abnormal traffic can be detected accurately and quickly, and the time spent in determining the type of abnormal traffic can be reduced.

Description

비정상 트래픽 탐지 방법 및 장치{METHOD FOR DETECTING ANOMALY TRAFFIC AND APPARATUS THEREOF}Anomaly traffic detection method and apparatus {METHOD FOR DETECTING ANOMALY TRAFFIC AND APPARATUS THEREOF}

본 발명은 비정상 트래픽 탐지 기술에 관한 것으로, 더욱 상세하게는 네트워크 공격에 의한 비정상 트래픽을 탐지하기 위한 비정상 트래픽 탐지 방법 및 장치에 관한 것이다.The present invention relates to an abnormal traffic detection technique, and more particularly, to a method and apparatus for detecting abnormal traffic for detecting abnormal traffic caused by a network attack.

인터넷을 통한 트래픽(Traffic)의 전송이 증가함에 따라, 비정상 트래픽을 탐지하고 탐지한 비정상 트래픽에 대응하기 위한 네트워크 보안의 중요성이 커지고 있다. 비정상 트래픽은 서비스 거부 공격(Denial of Service, DoS), 포트 스캔(port scan), 인터넷 웜(worm) 등과 같은 다양한 원인에 의해 발생할 수 있으며, 이러한 비정상 트래픽은 네트워크의 정상적인 기능에 심각한 영향을 끼친다. 따라서, 비정상 트래픽 탐지는 네트워크 보안에서 제외할 수 없는 중요한 요소이다.As the transmission of traffic through the Internet increases, the importance of network security for detecting abnormal traffic and responding to the detected abnormal traffic is increasing. Abnormal traffic may be caused by various causes such as Denial of Service (DoS), port scan, Internet worm, etc., and such abnormal traffic severely affects the normal functioning of the network. Therefore, abnormal traffic detection is an important factor that cannot be excluded from network security.

그러나 비정상 트래픽을 유발하는 위협들을 탐지하고 판별하는 것은 쉬운 일이 아니다. 현재까지 사용되어 온 비정상 트래픽 탐지 기법들은 주로 기계 학습, 데이터 마이닝(data mining), 통계적 분석을 기초로 한 것이었지만, 이러한 기법들은 인터넷 트래픽을 분석하는데 많은 시간이 소모되거나 종종 잘못된 분석 결과를 생성하기 때문에 이를 보완할 수 있는 새로운 기법이 필요한 실정이다.However, detecting and identifying threats that cause abnormal traffic is not easy. The anomalous traffic detection techniques used to date have been based primarily on machine learning, data mining, and statistical analysis, but these techniques can be very time consuming or often produce incorrect analysis results. Therefore, a new technique is needed to compensate for this.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 트래픽 분산 그래프를 기반으로 비정상 트래픽을 탐지하기 위한 비정상 트래픽 탐지 방법을 제공하는 데 있다.An object of the present invention for solving the above problems is to provide an abnormal traffic detection method for detecting abnormal traffic based on the traffic distribution graph.

상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 트래픽 분산 그래프를 기반으로 비정상 트래픽을 탐지하기 위한 비정상 트래픽 탐지 방법를 제공하는 데 있다.Another object of the present invention for solving the above problems is to provide an abnormal traffic detection method for detecting abnormal traffic based on the traffic distribution graph.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법은, 네트워크 트래픽을 나타내는 그래프를 생성하는 단계, 상기 그래프를 기반으로 특정 시점의 트래픽 특성을 나타내는 정적 변수 및 시간에 따라 변화하는 트래픽 특성을 나타내는 동적 변수를 산출하는 단계 및 상기 정적 변수 및 상기 동적 변수 중 적어도 하나의 변수와 미리 정의된 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지하는 단계를 포함한다.Abnormal traffic detection method according to an embodiment of the present invention for achieving the above object, generating a graph representing the network traffic, the static variable representing the traffic characteristics at a specific time point based on the graph and changes over time Calculating a dynamic variable indicative of a traffic characteristic and detecting abnormal traffic according to a result of comparing a predetermined threshold with at least one of the static variable and the dynamic variable.

여기서, 상기 비정상 트래픽 탐지 방법은, 비정상 트래픽이 탐지된 경우, 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별하는 단계를 더 포함할 수 있다.The abnormal traffic detection method may further include determining a type of abnormal traffic by applying a graph matching algorithm when abnormal traffic is detected.

여기서, 상기 그래프를 생성하는 단계는, 상기 그래프로 트래픽 분산 그래프를 생성할 수 있다.Here, the generating of the graph may generate a traffic distribution graph using the graph.

여기서, 상기 트래픽 특성을 나타내는 동적 변수를 산출하는 단계는, 상기 트래픽 분산 그래프에 포함된 노드들 간의 연결관계에 따라 인접 행렬을 산출하는 단계 및 상기 인접 행렬을 기반으로 상기 정적 변수 및 상기 동적 변수를 산출하는 단계를 포함할 수 있다.The calculating of the dynamic variable representing the traffic characteristic may include calculating an adjacent matrix based on a connection relationship between nodes included in the traffic distribution graph, and calculating the static variable and the dynamic variable based on the adjacent matrix. It may include the step of calculating.

여기서, 상기 정적 변수 및 상기 동적 변수를 산출하는 단계는, 상기 노드에 대한 트래픽 중 최대 트래픽을 상기 정적 변수로 산출하고, 시간에 따라 연속하는 적어도 두 개의 상기 트래픽 분산 그래프에 대한 연관성을 상기 동적 변수로 산출할 수 있다.The calculating of the static variable and the dynamic variable may include calculating the maximum traffic among the traffic for the node as the static variable and associating the at least two traffic dispersion graphs that are continuous over time with the dynamic variable. It can be calculated as

상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 장치는, 네트워크 트래픽을 나타내는 트래픽 분산 그래프를 생성하고, 상기 트래픽 분산 그래프를 기반으로 특정 시점의 트래픽 특성을 나타내는 정적 변수 및 시간에 따라 변화하는 트래픽 특성을 나타내는 동적 변수를 산출하고, 상기 정적 변수 및 상기 동적 변수 중 적어도 하나의 변수와 미리 정의된 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지하는 처리부 및 상기 트래픽 분산 그래프, 상기 정적 변수, 상기 동적 변수 및 상기 임계값 중 적어도 하나를 저장하는 저장부를 포함할 수 있다.Abnormal traffic detection apparatus according to an embodiment of the present invention for achieving the above another object, generates a traffic distribution graph indicating the network traffic, and a static variable and time indicating the traffic characteristics at a specific time point based on the traffic distribution graph A processor for detecting abnormal traffic according to a result of calculating a dynamic variable representing a traffic characteristic changing according to the comparison and comparing a predetermined threshold value with at least one of the static variable and the dynamic variable, It may include a storage unit for storing at least one of the static variable, the dynamic variable and the threshold value.

여기서, 상기 처리부는, 상기 트래픽 분산 그래프에 포함된 노드에 대한 트래픽 중 최대 트래픽을 상기 정적 변수로 산출하고, 시간에 따라 연속하는 적어도 두 개의 상기 트래픽 분산 그래프에 대한 연관성을 상기 동적 변수로 산출할 수 있다.Here, the processor is configured to calculate the maximum traffic among the traffic for the nodes included in the traffic distribution graph as the static variable, and calculate the correlation for at least two consecutive traffic distribution graphs over time as the dynamic variable. Can be.

여기서, 상기 처리부는, 비정상 트래픽이 탐지된 경우, 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별할 수 있다.Here, when abnormal traffic is detected, the processor may determine a type of abnormal traffic by applying a graph matching algorithm.

본 발명에 의하면, 트래픽 분산 그래프를 기반으로 비정상 트래픽을 탐지함으로써, 비정상 트래픽을 정확하고 신속하게 탐지할 수 있다.According to the present invention, by detecting abnormal traffic based on the traffic distribution graph, abnormal traffic can be detected accurately and quickly.

또한, 비정상 트래픽이 탐지된 경우에만 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별하므로, 전체 트래픽에 대해 그래프 매칭 알고리즘을 적용하는 종래 기법에 비해 비정상 트래픽의 종류를 판별하는데 소모되는 시간을 줄일 수 있다.In addition, since the type of abnormal traffic is determined by applying a graph matching algorithm only when abnormal traffic is detected, the time required to determine the type of abnormal traffic can be reduced as compared to the conventional method of applying the graph matching algorithm to all traffic. have.

도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법을 도시한 흐름도이다.
도 2는 트래픽 분산 그래프의 생성 과정을 도시한 개념도이다.
도 3은 트래픽 분산 그래프를 도시한 개념도이다.
도 4는 그래프와 서브 그래프의 관계를 도시한 개념도이다.
도 5는 네트워크에 대한 공격 패턴 그래프이다.
도 6은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 장치를 도시한 블록도이다.
도 7은 시간에 따른 정적 변수의 변화를 도시한 그래프이다.
도 8은 시간에 따른 동적 변수의 변화를 도시한 그래프이다.
도 9는 시간에 따른 패킷의 변화를 도시한 그래프이다.1 is a flowchart illustrating an abnormal traffic detection method according to an embodiment of the present invention.
2 is a conceptual diagram illustrating a process of generating a traffic distribution graph.
3 is a conceptual diagram illustrating a traffic distribution graph.
4 is a conceptual diagram illustrating a relationship between a graph and a subgraph.
5 is a graph of an attack pattern against a network.
6 is a block diagram showing an apparatus for detecting abnormal traffic according to an embodiment of the present invention.
7 is a graph showing changes in static variables over time.
8 is a graph illustrating a change in dynamic variables over time.
9 is a graph illustrating a change of a packet over time.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "having" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

도 1은 본 발명의 일 실시예에 따른 비정상 트래픽(traffic) 탐지 방법을 도시한 흐름도이고, 도 2는 트래픽 분산 그래프(Traffic Dispersion Graph, TDG)의 생성 과정을 도시한 개념도이다.1 is a flowchart illustrating a method for detecting abnormal traffic according to an embodiment of the present invention, and FIG. 2 is a conceptual diagram illustrating a process of generating a traffic distribution graph (TDG).

도 1을 참조하면, 트래픽 탐지 방법은 네트워크(network) 트래픽을 나타내는 그래프를 생성하는 단계(S100), 그래프를 기반으로 정적 변수(static metrics) 및/또는 동적 변수(dynamic metrics)를 산출하는 단계(S200), 및 정적 변수 및 동적 변수 중 적어도 하나의 변수를 기반으로 비정상 트래픽을 탐지하는 단계(S300)를 포함하고, 비정상 트래픽 종류를 판별하는 단계(S400)를 더 포함할 수 있다.Referring to FIG. 1, the traffic detection method may include generating a graph representing network traffic (S100), and calculating static and / or dynamic metrics based on the graph ( S200), and detecting abnormal traffic based on at least one of the static variable and the dynamic variable (S300), and determining the abnormal traffic type (S400).

여기서, 단계 S100은 단계 S110, 단계 S120 및 단계 S130을 포함할 수 있고, 단계 S200은 단계 S210 및 단계 S220을 포함할 수 있다. 단계 S100, 단계 S200, 단계 S300 및 단계 S400은 비정상 트래픽 탐지 장치에서 수행될 수 있다.Here, step S100 may include step S110, step S120, and step S130, and step S200 may include step S210 and step S220. Step S100, step S200, step S300, and step S400 may be performed by the abnormal traffic detection apparatus.

비정상 트래픽 탐지 장치는 네트워크에서 발생하는 트래픽을 모니터링하고 미리 정해진 시간 간격으로 네트워크 트래픽(10)을 검출할 수 있으며(S110), 이때 비정상 트래픽 탐지 장치는 1분 간격으로 네트워크 트래픽(10)을 검출할 수 있다.The abnormal traffic detection apparatus monitors the traffic occurring in the network and detects the network traffic 10 at predetermined time intervals (S110). At this time, the abnormal traffic detection apparatus detects the network traffic 10 at one minute intervals. Can be.

네트워크 트래픽(10)을 검출한 후, 비정상 트래픽 탐지 장치는 네트워크 트래픽(10)을 기반으로 플로우(flow) 정보(20)를 생성할 수 있다(S120). 플로우는 관련 있는 패킷(packet)들의 모임을 의미하며, 비정상 트래픽 탐지 장치는 5-Tuples(Src IP, Dst IP, Src Port, Dst Port, Protocol)을 기초로 하여 플로우 정보(20)를 생성할 수 있다. 여기서, 'Src IP'는 출발지 IP(source Internet Protocol)를 의미하고, 'Dst IP'는 목적지(destination) IP를 의미하고, 'Src Port'는 출발지 포트를 의미하고, 'Dst Port'는 목적지 포트를 의미한다.After detecting the network traffic 10, the apparatus for detecting abnormal traffic may generate flow information 20 based on the network traffic 10 (S120). The flow refers to a collection of related packets, and the abnormal traffic detection apparatus can generate the flow information 20 based on 5-Tuples (Src IP, Dst IP, Src Port, Dst Port, Protocol). have. Here, 'Src IP' means source IP (source Internet Protocol), 'Dst IP' means destination IP, 'Src Port' means source port, 'Dst Port' means destination port Means.

동일한 5-Tuples 정보를 가지는 패킷은 동일한 어플리케이션(application)에 의해 생성되므로, 비정상 트래픽 탐지 장치는 동일한 5-Tuples 정보를 가지는 패킷들을 분류하여 플로우 정보(20)를 생성할 수 있다.Since the packet having the same 5-Tuples information is generated by the same application, the abnormal traffic detection apparatus may generate the flow information 20 by classifying the packets having the same 5-Tuples information.

플로우 정보(20)를 생성한 후, 비정상 트래픽 탐지 장치는 플로우 정보(20)를 기반으로 네트워크 트래픽을 나타내는 그래프를 생성할 수 있으며, 그래프로 트래픽 분산 그래프(40)를 생성할 수 있다(S130).After generating the flow information 20, the abnormal traffic detection apparatus may generate a graph representing network traffic based on the flow information 20, and may generate the traffic distribution graph 40 as a graph (S130). .

비정상 트래픽 탐지 장치는 먼저 플로우 정보(20)를 기반으로 DOT 포맷(30)을 생성할 수 있으며, DOT 포맷(30)은 노드(node) 및 노드에 연결되는 에지(edge)를 포함할 수 있다. 여기서, 노드는 IP 주소(address)를 가지는 단말을 의미할 수 있고, 에지는 노드를 중심으로 한 패킷의 흐름을 의미할 수 있고, 에지는 방향성을 가질 수 있다.The abnormal traffic detection apparatus may first generate the DOT format 30 based on the flow information 20, and the DOT format 30 may include a node and an edge connected to the node. Here, the node may mean a terminal having an IP address, the edge may mean a flow of packets around the node, and the edge may have directionality.

예를 들어, 노드 1에서 노드 2로 패킷이 전송되는 경우, 노드 1과 노드 2는 에지를 통해 연결되며, 에지의 방향은 노드 1에서 노드 2로 향하는 방향이다. 여기서, 노드에 연결되는 에지는 패킷의 전송, 즉 트래픽의 발생을 의미하므로, 노드에 연결된 에지가 많을수록 해당 노드에 많은 트래픽이 발생하는 것을 의미한다.For example, when a packet is transmitted from node 1 to node 2, node 1 and node 2 are connected through the edge, and the direction of the edge is the direction from node 1 to node 2. Here, the edge connected to the node means the transmission of the packet, that is, the generation of traffic, so that the more edges connected to the node, the more traffic is generated to the node.

DOT 포맷(30)을 생성한 후, 비정상 트래픽 탐지 장치는 DOT 포맷(30)을 기반으로 트래픽 분산 그래프(40)를 생성할 수 있다. 트래픽 분산 그래프(40)는 복수의 노드를 포함할 수 있으며, 하나의 노드는 복수의 에지를 통해 복수의 다른 노드와 연결될 수 있다.
After generating the DOT format 30, the abnormal traffic detection apparatus may generate the traffic distribution graph 40 based on the DOT format 30. The traffic distribution graph 40 may include a plurality of nodes, and one node may be connected to a plurality of other nodes through a plurality of edges.

트래픽 분산 그래프를 생성한 후, 비정상 트래픽 탐지 장치는 트래픽 분산 그래프를 기반으로 인접 행렬(adjacency matrix)를 생성할 수 있다(S220). 여기서, 인접 행렬은 트래픽 분산 그래프에 포함된 특정 노드가 에지를 통해 다른 노드와 연결되어 있는지, 즉 인접해 있는지를 나타내기 위한 행렬을 의미한다.After generating the traffic variance graph, the abnormal traffic detection apparatus may generate an adjacency matrix based on the traffic variance graph (S220). Here, the neighbor matrix refers to a matrix for indicating whether a particular node included in the traffic distribution graph is connected to another node through an edge, that is, adjacent.

도 3은 트래픽 분산 그래프를 도시한 개념도이다.3 is a conceptual diagram illustrating a traffic distribution graph.

도 3을 참조하면, 노드 1은 노드 3, 4와 에지를 통해 연결되어 있으므로 노드 1에 대한 행렬은 (0, 0, 1, 1)로 나타낼 수 있다. 노드 2는 노드 3과 에지를 통해 연결되어 있으므로 노드 2에 대한 행렬은 (0, 0, 1, 0)로 나타낼 수 있다. 노드 3은 노드 1, 2, 4와 에지를 통해 연결되어 있으므로 노드 3에 대한 행렬은 (1, 1, 0, 1)로 나타낼 수 있다. 노드 4는 노드 1, 3과 에지를 통해 연결되어 있으므로 노드 4에 대한 행렬은 (1, 0, 1, 0)로 나타낼 수 있다.Referring to FIG. 3, since node 1 is connected to nodes 3 and 4 through an edge, a matrix for node 1 may be represented by (0, 0, 1, 1). Since node 2 is connected to node 3 through the edge, the matrix for node 2 can be represented by (0, 0, 1, 0). Since node 3 is connected to nodes 1, 2, and 4 through the edge, the matrix for node 3 may be represented by (1, 1, 0, 1). Since node 4 is connected to nodes 1 and 3 through the edge, the matrix for node 4 can be represented by (1, 0, 1, 0).

여기서, 각 행과 각 열은 각각의 노드를 의미하며(즉, 1행은 노드 1, 2행은 노드 2, 3행은 노드 3, 4행은 노드 4, 1열은 노드 1, 2열은 노드 2, 3열은 노드 3, 4열은 노드 4), 하나의 노드가 다른 노드와 에지를 통해 연결되어 있는 경우에 인접 행렬의 해당 부분을 '1'로 나타낼 수 있고, 하나의 노드가 다른 노드와 연결되어 있지 않은 경우에 인접 행렬의 해당 부분을 '0'으로 나타낼 수 있다.(예를 들어, 노드 1과 노드 2가 에지를 통해 연결되어 있는 경우에 인접 행렬의 1행 2열에 대한 값과 2행 1열에 대한 값을 '1'로 나타낼 수 있고, 노드 2와 노드 3이 연결되어 있지 않은 경우에 인접 행렬의 2행 3열에 대한 값과 3행 2열에 대한 값을 '0'으로 나타낼 수 있음)Here, each row and each column means its own node (i.e. row 1 is node 1, row 2 is node 2, row 3 is node 3, row 4 is node 4, column 1 is node 1, column 2 Nodes 2 and 3 are nodes 3 and 4 are nodes 4), and when one node is connected to another node through an edge, the corresponding portion of the adjacent matrix can be represented as '1', and one node is different. If you are not connected to a node, you can represent that portion of the adjacency matrix as '0' (for example, the values for 1 row and 2 columns of adjacency matrix when node 1 and node 2 are connected via edges). And the value for column 2, column 1, can be represented as '1', and if the node 2 and node 3 are not connected, the value for column 2, column 3, and column 3, column 2 of the adjacent matrix will be represented as '0'. Can be)

상술한 방법으로, 도 3에 도시된 트래픽 분산 그래프의 인접 행렬을 산출하면 아래 수학식 1과 같이 나타낼 수 있다.In the above-described method, when the adjacent matrix of the traffic variance graph shown in FIG. 3 is calculated, it may be expressed as Equation 1 below.

Figure 112012069929361-pat00001
Figure 112012069929361-pat00001

트래픽 분산 그래프를 기반으로 인접 행렬을 산출한 후, 비정상 트래픽 탐지 장치는 인접 행렬을 기반으로 정적 변수 및/또는 동적 변수를 산출할 수 있다(S220). 정적 변수는 특정 시점의 트래픽 특성을 나타낼 수 있으며, 정적 변수로 '노드 차수(node degree)', '입력 차수(Vin)', '출력 차수(Vout)', '입출력 차수(Vino)', '최대 차수(maximum degree(Kmax))', '차수 분산의 엔트로피(entropy of the degree distribution)' 등을 산출할 수 있다.After calculating the neighbor matrix based on the traffic variance graph, the abnormal traffic detection apparatus may calculate a static variable and / or a dynamic variable based on the neighbor matrix (S220). Static variables can represent traffic characteristics at a specific point in time. Static variables can be defined as' node degree ',' input order (Vin) ',' output order (Vout) ',' input / output order (Vino) ',' Maximum degree (Kmax) ',' entropy of the degree distribution ', and the like.

여기서, '노드 차수'는 노드에 연결된 에지의 수를 의미하고, '입력 차수'는 노드에 연결된 에지 중 노드로 들어오는 패킷을 나타내는 에지의 수를 의미하고, '출력 차수'는 노드에 연결된 에지 중 노드에서 나가는 패킷을 나타내는 에지의 수를 의미하고, '입출력 차수'는 노드에 연결된 에지 중 노드로 들어오는 패킷을 나타내는 에지의 수와 노드에서 나가는 패킷을 나타내는 에지의 수를 더한 값을 의미한다.Here, 'node order' refers to the number of edges connected to the node, 'input order' refers to the number of edges representing packets coming into the node among the edges connected to the node, and 'output order' refers to the number of edges connected to the node. The number of edges representing the outgoing packets from the node, and 'input and output order' means the number of edges representing packets coming into the node of the edge connected to the node plus the number of edges representing the packets leaving the node.

'최대 차수'는 트래픽 분산 그래프에 포함된 모든 노드에 대한 '노드 차수' 중 최대 값을 가지는 '노드 차수'를 의미한다. 즉, 노드에 연결된 에지는 노드에 대한 트래픽을 의미하므로, '최대 차수'는 트래픽 분산 그래프에 포함된 모든 노드에 대한 트래픽 중 최대 트래픽을 의미한다.'Maximum order' means 'node order' having the maximum value among 'node order' for all nodes included in the traffic distribution graph. That is, since the edge connected to the node means traffic to the node, 'maximum order' means the maximum traffic among all the nodes for all nodes included in the traffic distribution graph.

'차수 분산의 엔트로피'는 아래 수학식 2와 같이 나타낼 수 있다.'Entropy of order variance' can be expressed as Equation 2 below.

Figure 112012069929361-pat00002
Figure 112012069929361-pat00002

여기서, P(k)는 노드의 '노드 차수'가 'k'일 확률을 의미하고, 'H(X)' 는 '차수 분산의 엔트로피'를 의미한다.Here, P (k) means the probability that 'node order' of the node is ' k ', and 'H (X)' means 'entropy of order variance'.

비정상 트래픽 탐지 장치는 '노드 차수', '입력 차수', '출력 차수', '입출력 차수', '최대 차수' 및 '차수 분산의 엔트로피' 중 적어도 하나를 사용하여 비정상 트래픽을 탐지할 수 있다.
The abnormal traffic detection apparatus may detect abnormal traffic using at least one of 'node order', 'input order', 'output order', 'input and output order', 'maximum order' and 'entropy of order distribution'.

동적 변수는 시간에 따라 변화하는 트래픽 특성을 나타내며, 동적 변수로 'dk-0', 'dk-1', 'dk-2', 'dk-2 거리' 등을 사용할 수 있다. 여기서, 'dk-0'은 트래픽 분산 그래프에 포함된 모든 노드에 대한 '노드 차수'의 평균값이고, 'dk-1'은 노드의 '노드 차수'가 'k'일 확률을 나타내는 P(k)(수학식 2 참조)의 분포를 의미한다.Dynamic variables represent traffic characteristics that change over time, and dynamic variables such as 'dk-0', 'dk-1', 'dk-2', and 'dk-2 distance' may be used. Where 'dk-0' is the average value of 'node order' for all nodes included in the traffic distribution graph, and 'dk-1' is the P (k) indicating the probability that the 'node order' of node is ' k ' (See Equation 2).

'dk-2'는 '공동 차수 분포(joint degree distribution)'로 인접한 두 노드에 연결된 에지의 분포를 나타낸다.'dk-2' is the 'joint degree distribution' and indicates the distribution of edges connected to two adjacent nodes.

도 3을 참조하면, 공동 차수(노드 2, 노드 3) = (1, 3)이고(즉, 노드 2에 연결된 에지 수는 '1', 노드 3에 연결된 에지 수는 '3'), 공동 차수(노드 3, 노드 2) = (3, 1)이고, 공동 차수(노드 1, 노드 3) = (2, 3)이고, 공동 차수(노드 3, 노드 1) = (3, 2), 공동 차수(노드 1, 노드 4) = (2, 2)이고, 공동 차수(노드 4, 노드 1) = (2, 2)이고, 공동 차수(노드 4, 노드 3) = (2,3)이고, 공동 차수(노드 3, 노드 4) = (3, 2)이다.Referring to Figure 3, the common order (node 2, node 3) = (1, 3) (ie, the number of edges connected to node 2 is '1', the number of edges connected to node 3 is '3'), and the common order (Node 3, node 2) = (3, 1), common order (node 1, node 3) = (2, 3), common order (node 3, node 1) = (3, 2), common order (Node 1, node 4) = (2, 2), common order (node 4, node 1) = (2, 2), common order (node 4, node 3) = (2, 3), common Order (node 3, node 4) = (3, 2).

여기서, (1, 3)은 1개, (2, 2)는 2개, (2, 3)은 2개, (3, 1)은 1개, (3, 2)는 2개이므로, 도 3에 도시된 트래픽 분산 그래프의 'dk-2' 행렬은 아래 수학식 3과 같이 나타낼 수 있다.Here, (1, 3) is one, (2, 2) is two, (2, 3) is two, (3, 1) is one, and (3, 2) is two, so FIG. 3 The 'dk-2' matrix of the traffic variance graph shown in Equation 3 may be represented by Equation 3 below.

Figure 112012069929361-pat00003
Figure 112012069929361-pat00003

'dk-2 거리'는 시간에 따라 연속하는 적어도 두 개의 트래픽 분산 그래프에 대한 연관성을 나타내는 것으로, 비정상 트래픽 탐지 장치는 유클리드 거리(Euclidean distance)를 기반으로 하나의 트래픽 분산 그래프에 대한 'dk-2'와 다른 트래픽 분산 그래프에 대한 'dk-2' 간의 거리인 'dk-2 거리'를 산출할 수 있다.'dk-2 distance' represents the correlation of at least two consecutive traffic dispersion graphs over time, and the abnormal traffic detection apparatus uses the 'dk-2' for the traffic dispersion graph based on the Euclidean distance. 'Dk-2', which is the distance between 'and' dk-2 'for other traffic distribution graphs, can be calculated.

비정상 트래픽 탐지 장치는 'dk-0', 'dk-1', 'dk-2' 및 'dk-2 거리' 중 적어도 하나를 사용하여 비정상 트래픽을 탐지할 수 있다.
The abnormal traffic detection apparatus may detect abnormal traffic using at least one of 'dk-0', 'dk-1', 'dk-2', and 'dk-2 distance'.

정적 변수 및/또는 동적 변수를 산출한 후, 비정상 트래픽 탐지 장치는 정적 변수 및 동적 변수 중 적어도 하나의 변수와 미리 정의된 임계값(threshold)을 비교한 결과에 따라 비정상 트래픽을 탐지할 수 있다(S300). 여기서, 임계값은 비정상 트래픽을 탐지하기 위한 기준이 되는 값으로, 임계값은 사용자에 의해 미리 정의될 수 있으며, 정적 변수에 대한 임계값과 동적 변수에 대한 임계값은 서로 다르게 정의될 수 있다.After calculating the static variable and / or dynamic variable, the abnormal traffic detection apparatus may detect the abnormal traffic according to a result of comparing a predetermined threshold with at least one of the static variable and the dynamic variable ( S300). Here, the threshold value is a reference value for detecting abnormal traffic. The threshold value may be predefined by the user, and the threshold value for the static variable and the threshold value for the dynamic variable may be different from each other.

비정상 트래픽 탐지 장치는, 정적 변수 및 동적 변수 중 적어도 하나의 변수가 미리 정의된 임계값보다 큰 경우에 해당 네트워크 트래픽을 비정상 트래픽으로 판단할 수 있다.
The abnormal traffic detection apparatus may determine the corresponding network traffic as abnormal traffic when at least one of the static variable and the dynamic variable is larger than a predefined threshold.

비정상 트래픽을 탐지한 후, 비정상 트래픽 탐지 장치는 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별할 수 있다(S400). 비정상 트래픽 탐지 장치는 그래프 매칭 알고리즘으로 VF(Vento Foggia)2 알고리즘을 사용할 수 있으며, VF2 알고리즘은 두 그래프의 동일성을 판단하는 알고리즘으로, 하나의 그래프 안에 다른 그래프가 포함되는지를 판단할 수 있다.After detecting the abnormal traffic, the abnormal traffic detection apparatus may determine a type of the abnormal traffic by applying a graph matching algorithm (S400). The abnormal traffic detection apparatus may use a VF (Vento Foggia) algorithm as a graph matching algorithm, and the VF2 algorithm is an algorithm for determining equality between two graphs and may determine whether another graph is included in one graph.

도 4는 그래프와 서브(sub) 그래프의 관계를 도시한 개념도이다.4 is a conceptual diagram illustrating a relationship between a graph and a sub graph.

도 4를 참조하면, 도 4(a)는 노드 A, 노드 B, 노드 C 및 노드 D로 구성된 트래픽 분산 그래프이고, 도 4(b)는 노드 A, 노드 B, 노드 C, 노드 D, 노드 E, 노드 F 및 노드 G로 구성된 트래픽 분산 그래프이다. 여기서, 도 4(a) 그래프는 도 4(b) 그래프의 서브 그래프이다.Referring to Figure 4, Figure 4 (a) is a traffic distribution graph consisting of Node A, Node B, Node C and Node D, Figure 4 (b) is Node A, Node B, Node C, Node D, Node E , Traffic distribution graph consisting of node F and node G. Here, the graph of FIG. 4 (a) is a subgraph of the graph of FIG. 4 (b).

도 4(a) 그래프와 도 4(b) 그래프에 VF2 알고리즘을 적용하면, 도 4(a) 그래프가 도 4(b) 그래프에 포함되는 것을 확인할 수 있다.
When the VF2 algorithm is applied to the graph of FIG. 4 (a) and the graph of FIG. 4 (b), it can be seen that the graph of FIG. 4 (a) is included in the graph of FIG. 4 (b).

즉, 비정상 트래픽 탐지 장치는, 단계 S300에서 비정상 트래픽으로 탐지된 트래픽 분산 그래프와 네트워크에 대한 공격 패턴 그래프에 VF2 알고리즘을 적용하여, 네트워크에 대한 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는지 분석할 수 있으며, 분석 결과 네트워크에 대한 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 상기 비정상 트래픽의 종류를 상기 네트워크에 대한 공격 패턴 그래프에 해당하는 공격에 대한 트래픽으로 판별할 수 있다.
That is, the abnormal traffic detection apparatus applies the VF2 algorithm to the traffic distribution graph and the attack pattern graph for the network detected as abnormal traffic in step S300, so that the attack pattern graph for the network is included in the traffic distribution graph detected as the abnormal traffic. If the attack pattern graph for the network is included in the traffic distribution graph detected as abnormal traffic, the type of the abnormal traffic is determined as the traffic for the attack corresponding to the attack pattern graph for the network. can do.

도 5는 네트워크에 대한 공격 패턴 그래프이다.5 is a graph of an attack pattern against a network.

도 5를 참조하면, 도 5(a)는 호스트 스캐닝(host scanning)에 대한 공격 패턴 그래프로, 도 5(a)의 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 비정상 트래픽 탐지 장치는 비정상 트래픽의 종류를 호스트 스캐닝으로 판별할 수 있다.Referring to FIG. 5, FIG. 5A is an attack pattern graph for host scanning. When the attack pattern graph of FIG. 5A is included in a traffic distribution graph detected as abnormal traffic, abnormal traffic is detected. The detection apparatus may determine the type of abnormal traffic by host scanning.

도 5(b)는 포트 스캐닝(port scanning)에 대한 공격 패턴 그래프로, 도 5(b)의 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 비정상 트래픽 탐지 장치는 비정상 트래픽의 종류를 포트 스캐닝으로 판별할 수 있다.FIG. 5 (b) is an attack pattern graph for port scanning. When the attack pattern graph of FIG. 5 (b) is included in the traffic distribution graph detected as abnormal traffic, the abnormal traffic detection apparatus is configured to detect abnormal traffic. The type can be determined by port scanning.

도 5(c)는 스머프(smurf)에 대한 공격 패턴 그래프로, 도 5(c)의 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 비정상 트래픽 탐지 장치는 비정상 트래픽의 종류를 스머프 공격으로 판별할 수 있다.FIG. 5 (c) is an attack pattern graph for a smurf. When the attack pattern graph of FIG. 5 (c) is included in a traffic distribution graph detected as abnormal traffic, the abnormal traffic detection apparatus identifies a type of abnormal traffic. Can be determined by smurf attacks.

도 5(d)는 프래글(fraggle)에 대한 공격 패턴 그래프로, 도 5(d)의 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 비정상 트래픽 탐지 장치는 비정상 트래픽의 종류를 프래글 공격으로 판별할 수 있다.FIG. 5 (d) is an attack pattern graph for a fragment, and when the attack pattern graph of FIG. 5 (d) is included in a traffic distribution graph detected as abnormal traffic, the abnormal traffic detection apparatus is a type of abnormal traffic. Can be determined as a fragment attack.

도 5(e)는 DNS 증폭(Domain Name Server amplification)에 대한 공격 패턴 그래프로, 도 5(e)의 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 비정상 트래픽 탐지 장치는 비정상 트래픽의 종류를 DNS 증폭으로 판별할 수 있다.FIG. 5 (e) is an attack pattern graph for DNS name amplification. When the attack pattern graph of FIG. 5 (e) is included in a traffic distribution graph detected as abnormal traffic, the abnormal traffic detection apparatus is abnormal. The type of traffic can be determined by DNS amplification.

도 5(f)는 DDoS(Distributed Denial of Service)에 대한 공격 패턴 그래프로, 도 5(f)의 공격 패턴 그래프가 비정상 트래픽으로 탐지된 트래픽 분산 그래프에 포함되는 경우, 비정상 트래픽 탐지 장치는 비정상 트래픽의 종류를 DDos로 판별할 수 있다.
FIG. 5 (f) is an attack pattern graph for a distributed denial of service (DDoS). When the attack pattern graph of FIG. 5 (f) is included in a traffic distribution graph detected as abnormal traffic, the abnormal traffic detection apparatus is an abnormal traffic. The type of can be determined by DDos.

도 6은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 장치를 도시한 블록도이다.6 is a block diagram showing an apparatus for detecting abnormal traffic according to an embodiment of the present invention.

도 6을 참조하면, 비정상 트래픽 탐지 장치(60)는 처리부(61) 및 저장부(62)를 포함할 수 있다. 처리부(61)는 네트워크 트래픽을 나타내는 트래픽 분산 그래프를 생성할 수 있고, 트래픽 분산 그래프를 기반으로 특정 시점의 트래픽 특성을 나타내는 정적 변수 및/또는 시간에 따라 변화하는 트래픽 특성을 나타내는 동적 변수를 산출할 수 있고, 정적 변수 및 동적 변수 중 적어도 하나의 변수와 미리 정의된 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지할 수 있다.Referring to FIG. 6, the abnormal traffic detection apparatus 60 may include a processor 61 and a storage 62. The processor 61 may generate a traffic distribution graph representing network traffic, and calculate a static variable representing traffic characteristics at a specific time point and / or a dynamic variable representing traffic characteristics changing over time based on the traffic distribution graph. The abnormal traffic may be detected according to a result of comparing the at least one variable of the static variable and the dynamic variable with a predefined threshold value.

처리부(61)는 동적 변수를 산출하는 경우, 트래픽 분산 그래프에 포함된 노드들 간의 연결관계에 따라 인접 행렬을 산출할 수 있고, 인접 행렬을 기반으로 정적 변수 및/또는 동적 변수를 산출할 수 있다.When calculating the dynamic variable, the processor 61 may calculate an adjacent matrix according to a connection relationship between nodes included in the traffic distribution graph, and calculate a static variable and / or a dynamic variable based on the adjacent matrix. .

처리부(61)는 노드에 대한 트래픽 중 최대 트래픽을 정적 변수로 산출할 수 있고, 시간에 따라 연속하는 적어도 두 개의 트래픽 분산 그래프에 대한 연관성을 동적 변수로 산출할 수 있다.The processor 61 may calculate the maximum traffic among the traffic to the node as a static variable, and calculate the correlation for at least two traffic variance graphs that are continuous over time as the dynamic variable.

처리부(61)는 비정상 트래픽이 탐지된 경우, 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별할 수 있다.When abnormal traffic is detected, the processor 61 may determine a type of abnormal traffic by applying a graph matching algorithm.

여기서, 처리부(61)가 트래픽 분산 그래프를 생성하는 구체적인 과정은 단계 S100에서 설명한 내용과 동일하고, 정적 변수 및/또는 동적 변수를 산출하는 구체적인 과정은 단계 S200에서 설명한 내용과 동일하고, 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지하는 구체적인 과정은 단계 S300에서 설명한 내용과 동일하고, 비정상 트래픽의 종류를 판별하는 구체적인 과정은 단계 S400에서 설명한 내용과 동일하다.Here, the specific process of generating the traffic distribution graph by the processor 61 is the same as described in step S100, and the specific process of calculating the static variable and / or the dynamic variable is the same as described in step S200, and the threshold According to the comparison result, the specific process of detecting abnormal traffic is the same as described in step S300, and the specific process of determining the type of abnormal traffic is the same as described in step S400.

처리부(61)가 수행하는 기능은 실질적으로 프로세서(예를 들어, CPU(Central Processing Unit) 및/또는 GPU(Graphics Processing Unit) 등)에서 수행될 수 있다.The function performed by the processor 61 may be substantially performed in a processor (eg, a central processing unit (CPU) and / or a graphics processing unit (GPU)).

저장부(62)는 트래픽 분산 그래프, 정적 변수, 동적 변수 및 임계값 중 적어도 하나를 저장할 수 있다.
The storage 62 may store at least one of a traffic distribution graph, a static variable, a dynamic variable, and a threshold value.

도 7은 시간에 따른 정적 변수의 변화를 도시한 그래프이고, 도 8은 시간에 따른 동적 변수의 변화를 도시한 그래프이고, 도 9는 시간에 따른 패킷의 변화를 도시한 그래프이다. 즉, 도 7은 시간에 따른 '최대 차수(Kmax)'의 변화를 도시한 그래프이고, 도 8은 시간에 따른 'dk-2 거리(distance)'의 변화를 도시한 그래프이다.FIG. 7 is a graph showing a change in static variables over time, FIG. 8 is a graph showing a change in dynamic variables over time, and FIG. 9 is a graph showing a change in packets over time. That is, FIG. 7 is a graph showing a change in the maximum order Kmax with time, and FIG. 8 is a graph showing a change in the distance dk-2 with time.

도 7, 8에서, 2분, 22분, 23분에 '최대 차수'와 'dk-2 거리'의 값이 급변하므로, 해당 시각에 비정상 트래픽이 발생한 것을 용이하게 확인할 수 있다. 반면, 도 9의 경우에 비정상 트래픽과 정상 트래픽의 차이가 크지 않으므로, 비정상 트래픽을 탐지하기 쉽지 않다.
7, 8, and 2 minutes, 22 minutes, 23 minutes, since the value of the 'maximum degree' and 'dk-2 distance' is suddenly changed, it can be easily confirmed that abnormal traffic occurred at the time. On the other hand, in the case of FIG. 9, since the difference between the abnormal traffic and the normal traffic is not large, it is not easy to detect the abnormal traffic.

본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
The methods according to the present invention can be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the present invention or may be available to those skilled in the computer software. Examples of computer readable media include hardware devices that are specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate with at least one software module to perform the operations of the present invention, and vice versa.

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined in the appended claims. It will be possible.

60: 비정상 트래픽 탐지 장치
61: 처리부
62: 저장부60: abnormal traffic detection device
61:
62:

Claims (8)

비정상 트래픽을 탐지하는 장치에서 수행되는 비정상 트래픽 탐지 방법에 있어서,
네트워크 트래픽을 나타내는 그래프를 생성하는 단계;
상기 그래프에 포함된 노드(node)들 간의 연결관계에 따라 인접 행렬을 산출하는 단계;
상기 인접 행렬을 기반으로 특정 시점의 트래픽 특성을 나타내는 정적 변수 및 시간에 따라 변화하는 트래픽 특성을 나타내는 동적 변수를 산출하는 단계; 및
상기 정적 변수 및 상기 동적 변수와 미리 정의된 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지하는 단계를 포함하되,
상기 동적 변수를 산출하는 단계는 상기 노드에 대한 트래픽 중 최대 트래픽을 상기 정적 변수로 산출하고, 시간에 따라 연속하는 적어도 두 개의 상기 트래픽 분산 그래프에 대한 연관성을 상기 동적 변수로 산출하는 비정상 트래픽 탐지 방법.In the abnormal traffic detection method performed in the device for detecting abnormal traffic,
Generating a graph representing network traffic;
Calculating a neighboring matrix according to a connection relationship between nodes included in the graph;
Calculating a static variable representing a traffic characteristic of a specific time point and a dynamic variable representing a traffic characteristic that changes with time based on the adjacent matrix; And
Detecting abnormal traffic according to a result of comparing the static variable and the dynamic variable with a predefined threshold value,
The calculating of the dynamic variable may include calculating the maximum traffic among the traffic for the node as the static variable, and calculating the correlation with at least two consecutive traffic distribution graphs over time as the dynamic variable. . 청구항 1에 있어서, 상기 비정상 트래픽 탐지 방법은,
비정상 트래픽이 탐지된 경우, 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별하는 단계를 더 포함하는 비정상 트래픽 탐지 방법.The method according to claim 1, The abnormal traffic detection method,
And detecting abnormal traffic by applying a graph matching algorithm when abnormal traffic is detected. 청구항 1에 있어서, 상기 그래프를 생성하는 단계는,
상기 그래프로 트래픽 분산 그래프(Traffic Dispersion Graph, TDG)를 생성하는 비정상 트래픽 탐지 방법.The method of claim 1, wherein generating the graph,
Abnormal traffic detection method for generating a traffic distribution graph (TDG) with the graph. 삭제delete 삭제delete 네트워크 트래픽을 나타내는 트래픽 분산 그래프(Traffic Dispersion Graph, TDG)를 생성하고, 상기 그래프에 포함된 노드(node)들 간의 연결관계에 따라 인접 행렬을 산출하고, 상기 인접 행렬을 기반으로 특정 시점의 트래픽 특성을 나타내는 정적 변수 및 시간에 따라 변화하는 트래픽 특성을 나타내는 동적 변수를 산출하고, 상기 정적 변수 및 상기 동적 변수와 미리 정의된 임계값을 비교한 결과에 따라 비정상 트래픽을 탐지하는 처리부; 및
상기 트래픽 분산 그래프, 상기 정적 변수, 상기 동적 변수 및 상기 임계값 중 적어도 하나를 저장하는 저장부를 포함하되,
상기 처리부는 상기 트래픽 분산 그래프에 포함된 노드에 대한 트래픽 중 최대 트래픽을 상기 정적 변수로 산출하고, 시간에 따라 연속하는 적어도 두 개의 상기 트래픽 분산 그래프에 대한 연관성을 상기 동적 변수로 산출하는 비정상 트래픽 탐지 장치.Generate a Traffic Dispersion Graph (TDG) representing network traffic, calculate an adjacency matrix according to the connections between nodes included in the graph, and generate traffic characteristics at a specific time point based on the adjacency matrix A processor configured to calculate a static variable indicating a and a dynamic variable indicating a traffic characteristic changing with time, and detect abnormal traffic according to a result of comparing the static variable and the dynamic variable with a predefined threshold value; And
A storage unit for storing at least one of the traffic distribution graph, the static variable, the dynamic variable, and the threshold value,
The processing unit detects abnormal traffic that calculates the maximum traffic among the traffic to the nodes included in the traffic distribution graph as the static variable, and calculates the correlation of at least two traffic distribution graphs that are continuous over time as the dynamic variable. Device. 삭제delete 청구항 6에 있어서, 상기 처리부는,
비정상 트래픽이 탐지된 경우, 그래프 매칭 알고리즘을 적용하여 비정상 트래픽의 종류를 판별하는 비정상 트래픽 탐지 장치.The method according to claim 6, The processing unit,
When abnormal traffic is detected, the abnormal traffic detection apparatus for determining the type of abnormal traffic by applying a graph matching algorithm.
KR1020120095403A 2012-08-30 2012-08-30 Method for detecting anomaly traffic and apparatus thereof KR101381558B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120095403A KR101381558B1 (en) 2012-08-30 2012-08-30 Method for detecting anomaly traffic and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120095403A KR101381558B1 (en) 2012-08-30 2012-08-30 Method for detecting anomaly traffic and apparatus thereof

Publications (2)

Publication Number Publication Date
KR20140039343A KR20140039343A (en) 2014-04-02
KR101381558B1 true KR101381558B1 (en) 2014-04-14

Family

ID=50649975

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120095403A KR101381558B1 (en) 2012-08-30 2012-08-30 Method for detecting anomaly traffic and apparatus thereof

Country Status (1)

Country Link
KR (1) KR101381558B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101888683B1 (en) 2017-07-28 2018-08-14 펜타시큐리티시스템 주식회사 Method and apparatus for detecting anomaly traffic
KR102615199B1 (en) * 2021-01-19 2023-12-19 한국전자통신연구원 Network flow extraction method and network flow labeling method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090054196A (en) * 2007-11-26 2009-05-29 한국전자통신연구원 Device and method for detecting anomalous traffic
KR20110035336A (en) * 2009-09-30 2011-04-06 주식회사 케이티 Method for detecting traffic anomaly and network management system using the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090054196A (en) * 2007-11-26 2009-05-29 한국전자통신연구원 Device and method for detecting anomalous traffic
KR20110035336A (en) * 2009-09-30 2011-04-06 주식회사 케이티 Method for detecting traffic anomaly and network management system using the same

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
논문1: 정보과학회논문지 *
논문2 *

Also Published As

Publication number Publication date
KR20140039343A (en) 2014-04-02

Similar Documents

Publication Publication Date Title
US9900344B2 (en) Identifying a potential DDOS attack using statistical analysis
US10091218B2 (en) System and method to detect attacks on mobile wireless networks based on network controllability analysis
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
US9083712B2 (en) Method and apparatus for generating highly predictive blacklists
Bhuyan et al. E‐LDAT: a lightweight system for DDoS flooding attack detection and IP traceback using extended entropy metric
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
Le et al. Traffic dispersion graph based anomaly detection
Fan et al. Modeling the propagation of peer-to-peer worms
US20160269431A1 (en) Predictive analytics utilizing real time events
KR20220074819A (en) Graph Stream Mining Pipeline for Efficient Subgraph Detection
David et al. Detection of distributed denial of service attacks based on information theoretic approach in time series models
KR100950079B1 (en) Network abnormal state detection device using HMMHidden Markov Model and Method thereof
CN112437062A (en) ICMP tunnel detection method, device, storage medium and electronic equipment
KR101381558B1 (en) Method for detecting anomaly traffic and apparatus thereof
Lah et al. Proposed framework for network lateral movement detection based on user risk scoring in siem
JP4161989B2 (en) Network monitoring system
Bartos et al. IFS: Intelligent flow sampling for network security–an adaptive approach
Fan et al. Propagation modeling of peer-to-peer worms
Qin et al. A new connection degree calculation and measurement method for large scale network monitoring
Pevný et al. Detecting anomalous network hosts by means of pca
CN107251519B (en) Systems, methods, and media for detecting attacks of fake information on a communication network
Fan et al. Modeling the propagation of peer-to-peer worms under quarantine
Gallos et al. Anomaly detection through information sharing under different topologies
KR101326804B1 (en) Distributed denial of service detection method and system
US20230396588A1 (en) Characterization of illegitimate web transactions

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee